2013年4月8日 星期一

封鎖特定服務的方法及必要性(Block Specific Services and Necessary)


你正在倒數計時嗎?想想今天應該是相當具紀念價值的一日,因為在2013/04/08這一天MSN(Windows Live Messenger)即將走入歷史,很多平日需要以它做為溝通的工具的人,應該都已經進行了替代方案的解決方式了吧!無論是你是選用整合進Skype之中、雙開Skype、放棄它(回到電子郵件的時代、朋友已不上線)或是直接透過其它的即時通訊軟體(例:LineFacebook......等)。

基本上只要能夠與原先的聯絡人進行即時的互動和溝通,找到自己適用的即可,畢竟這些工具是我們使用它,而不是讓它來喧賓奪主,不然,經常都會發生被特定軟體所制約狀況。

這邊就介紹幾種常見的替代方案
  1. 整合至Skype:
    直接下載最新版的Skype(載點有PchomeSkype版本雖有不同,但是不影響整合),目前測試過皆可使用,接著就只要在登入畫面,選擇以Microsoft帳戶登入後,就可以讓你選擇你是要整合至新的Skype帳號,或是原有的舊帳號中。

    接著就只要跟著它的引導完成整合功能即可,如果整合之後想要解決群組問題,可以參考黑暗執行緒 ─ Skype MSN連絡人群組匯入工具,若是整合進Skype後,想要反悔的人,可以參考Freegroup ─ 如何取消連結、重新合併 Skype 和 MSN 帳號?,網路上只要花點心力就可以找到前人留下的足跡。

  2.  雙開Skype:
    主要是不想要整合進原有Skype帳號的人使用,但是又有兩個帳號都得開啟的需求,做法也相當簡單,只要在原本啟動的路徑後面加個「/secondary」即可,有需求的人可以參考重灌狂人 ─ 如何同時登入不同 Skype 帳號、同時聊天?
如果你是要選用其它的即時通訊,針對這部分的選擇,我在上一篇的即時通訊的選擇,已經有所著墨,這邊就先暫時不談,這篇主要討論的其實就是很多(苦命的?)網管經常得面對的問題(嚴重一點還會賠上工作或人脈),那就是究竟要不要封鎖某些不必要的(即時通訊)軟體、特定網站呢?

雖說如此,但是遇到問題終究還是得要解決, 其實最幸福的應該就是那些在有明確規範什麼可以用的公司裡的網管,因為只要照著政策做就好(只有特定狀況,需要個案處理),如果是政策不明確的話,可能就比較棘手,因為這時後就得要面對很灰色地帶的執法標準。

因為這時候你要面對的問題主要有三項:使用的合理性資源(支援)不足人情壓力

  1. 使用的合理性:
    其實使用的合理性也是很多公司沒有明確的政策來處理這部分的主因,一方面是人力配置的問題,若是多工的使用者,基本上就很難劃分工作內容,但是,換個角度來想,需要連到某些網站或是使用特定工具的人,反而是得要專職(社群行銷品牌管理)才能夠做好的事,若是已經多工的人,是否適合接手這一塊呢?若非真的人力精簡到一定得如此的狀況,反而在此分工是比較好選擇。

    這就跟你不會希望在研發工程師還得要兼做客服吧?(當然它們沒有這些軟體,往往是有安全的顧慮),不過這也突顯了使用合理性的重要性,所以只要你能夠提出使用這類軟體的合理性(同時不會影響到周遭人的工作情緒),我想應該沒有誰會沒事去封鎖不讓你用吧!?

    通常會發生突然不能用的意外,往往都是有人發現已經影響工作、白目或是其它因素,才會發生這種慘事,不過,如果因為自己的合理性不足,似乎也不能多說什麼!(這時候更該思索,自己是不是已經玩得太過火了!?)

  2. 資源(支援)不足
    這就是有政策,但是在資源上卻不一定可以補足,就需要一點技術能力和執行手腕,才能夠勝任,其實如果真的要封鎖特定軟體、服務或網站,有很多方式,有單機版的做法、軟體版的做法或閘道端的做法,這些往往也就跟資源有著絕對的關係,若是沒資源時就只好用時間來換(傻笑)

    • 單機版:若有AD架構,基本上一切好辦,它基本上可以搭配很多工具來達到需要的效果,若是沒有AD可能就是透過降權(降至Users)或是透過DNS的查詢的綁定,來讓使用者無法連制特定網址(例:Hosts檔)

      在%systemroot%\system32\drivers\etc的hosts中的加上:
      127.0.0.1       tw.yahoo.com
      儲存後在連線到tw.yahoo.com就會發現連不到網頁,因為這個檔案在系統資料夾中,所以設定完成後,只要再降權或是不讓使用者修改該檔案,就可以達到一定的效果,不過這種做法挺費力的,雖然可以透過批次檔來進行自動化(有空的話可以自行試試),但是因為要封鎖的網址可能不少,就需要一段時間來記錄和累積。

      此外,這種封鎖的方式要繞過它也不會太過困難,也有些軟體的破解手法也是依樣畫葫蘆。
    • 軟體版:這部份主要是透過特定軟體,限制使用者不能安裝軟體,或是改變使用者連至特定服務的路徑,甚至是透過其它密碼鎖定的手法來進行控管,這通常也是在單機版上會遇到的狀況,尤其是沒有AD架構,使用者又有管理者權限。

      雖然可以透過runas的方式來避免一些管理者權限的給予,但是針對某些使用者來說,或許直接裝上一個控管軟體(例:Install-block)來得更為直接、簡單。

      當然這種方式遇到某些綠色軟體、免安裝軟體,就不一定能夠防得住就是,這或許就是另外一種層級的攻防戰(一般使用者若是做到一步,代表你已經在跟網管人員槓上了)。
    • 閘道端:若是使用者的人數眾多,可能就需要更為省事的方式,那就是直接在網路的閘道端就封鎖特定的封包,這一點主要就取決於網路路由器的支援能力,不過現在大約中等價位的網路頻寬分享器(Router)應該就具備一定的功能。

      這時候你只要依據各家路由器的設定,將需阻擋服務的特徵碼設定好,一般來說都採IPDomain Name的方式,針對不同服務可以選擇不同的限制方式:

      Facebook:(採Domain Name的封鎖)


      Line(PC版):(採IP的封鎖)


      最後再將要封鎖的時間、範圍寫入路由器的相關設定中,即可生效


      不過需要注要各家路由器的設定各不相同,所以設定完後最好自己嘗試看看,此外這樣子的封鎖方式,原則上已經達到合理限制的範圍,那麼是否就真的滴水不漏呢?

      其實也不盡然,因為有限制就有一定有漏洞可鑽,不過對一般使用者來說,通常在一般無法連線的狀況下,就應該要有所警惕,而不是一再地去挑戰網管人員的耐性,畢竟雙方都是拿著自己的飯碗在玩,往往最終會以兩敗俱傷收場。
  3. 人情壓力:其實這一點也是最難切割的部分,因為人脈是在職場上相當重要的一項資源,沒有誰希望自己在職場上是被孤立的,有時候某些任務還非得需要一些人脈才得以順利進行。

    也因為如此,很多較為年長或是在現職待得較久的同仁,會以此來半壓迫地逼人就範,雖然這並沒有一定對或錯,尤其是在公司政策不是這麼明確的狀況下,或許可以透過限縮頻寬,來讓使用者碰軟釘子。

    但是,這也有可能會造成反效果,因為連線速度太慢,所以有些使用者可能一開機,就開著特定網站的頁面等,三不五時就回來看一下,反而更影響工作效率,甚至是往上提報網路速度過慢(當然不會說是特定社群網站),進而影響工作效率,接著就有人會被老闆叫去泡茶,總使你可以跟老版說明原委,但是,既有的狀況也已經發生(有時候真的是先說先贏)。

    因此,在面對這種人情壓力與職務內容兩難的局面時,最好的方式還是婉轉地讓老闆瞭解狀況,適時地要個明確的答案,或是有限度的開放使用(例:午休時間,因為很多人都是吃飯配電腦),如此一來,才不會讓自己難做人。
其實我相信,很多網管人心裡都有自己的一把尺,當然,公司也有一定防範措施跟規範,尤其是個資法過之後,或許更有施力點,不過,最重要地還是讓使用者瞭解,所為何來?必要時透過人治(教育訓練)的方式來進行,其實遠比再昂貴的設備或高深的技巧來得實用,鬆緊之間的界線,或許才是網管人要面臨的最大課題吧!